MS03-031: Накопительное обновление для системы безопасности сервера SQL Server

Переводы статьи Переводы статьи
Код статьи: 815495 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Корпорация Майкрософт выпустила обновление для системы безопасности, которое устраняет уязвимости в следующих продуктах:
  • Microsoft SQL Server 2000 с пакетом обновления 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) с пакетом обновления 3 (SP3)
  • Microsoft SQL Server 2000 (64-разрядные версии)
  • Microsoft SQL Server 7.0 с пакетом обновления 4 (SP4)
  • Microsoft Data Engine 1.0 с пакетом обновления 4 (SP4)
Ниже представлен список уязвимостей, устраняемых данным обновлением для системы безопасности.
  • Захват именованного канала
    При запуске SQL Server создает именованный канал, который в дальнейшем им прослушивается для установки входящих подключений. Именованный канал представляет собой односторонний или двусторонний канал для обмена данными между сервером, создавшим канал, и клиентами. SQL Server проверяет именованный канал в поисках подключений клиентов, которые могут входить в систему и выполнять запросы к данным, хранящимся на сервере.

    В используемом методе проверки существует уязвимость, позволяющая злоумышленнику, имеющему доступ к консоли компьютера, на котором запущен SQL Server, осуществлять захват именованного канала в момент, когда другой пользователь входит в систему, и использовать именованный канал с правами данного пользователя. Если пользователь, удаленно входивший в систему, имел больше прав, чем злоумышленник, то после захвата именованного канала злоумышленник получит права этого пользователя.
  • Отказ в обслуживании именованного канала
    В ситуации, аналогичной описанной в разделе «Захват именованного канала» данной статьи, локальный пользователь интрасети, не прошедший проверку подлинности, может отправить большой пакет данных по именованному каналу на компьютер, на котором запущен SQL Server, в результате чего сервер перестанет отвечать на запросы.

    Данная уязвимость не позволяет злоумышленнику запускать произвольный код или расширять свои права, но с ее помощью можно спровоцировать отказ в обслуживании сервера, после чего для восстановления работоспособности понадобится перезапуск сервера.
  • Переполнение буфера в SQL Server
    В одной из функций Windows существует уязвимость, позволяющая пользователю, прошедшему проверку подлинности и имеющему доступ к консоли сервера, создать и отправить на порт локального вызова процедур (LPC) пакет, вызывающий переполнение буфера. Успешное использование данной уязвимости позволяет злоумышленнику получать права учетной записи службы SQL Server и выполнять любой код.

Дополнительная информация

Дополнительные сведения об этих уязвимостях и о том, как получить необходимые исправления см. в перечисленных ниже статьях базы знаний Майкрософт в зависимости от используемой версии SQL Server.

SQL Server 2000 с пакетом обновления 3 (SP3) или Microsoft SQL Server 2000 Desktop Engine (MSDE) с пакетом обновления 3 (SP3)

821277 MS03-031: Исправление для системы безопасности SQL Server 2000 с пакетом обновлений 3 (SP3)

Важные замечания

Прочтите следующие важные замечания об установке данного обновления на компьютер, на котором запущен SQL Server 2000 с пакетом обновления 3 (SP3).
Службы UDDI (Universal Description, Discovery, and Integration)
Если данное обновление устанавливается на компьютер под управлением Microsoft Windows Server 2003, на котором установлены службы UDDI, воспользуйтесь одним из приведенных ниже способов, чтобы перезапустить службы UDDI. Пока не выполнен перезапуск, службы UDDI работать не будут.
  • Если на компьютере под управлением Windows Server 2003 не запущены другие веб-службы, для перезапуска служб UDDI можно перезапустить службы IIS. Перезапуск служб IIS представляет собой остановку работы служб и их последующий запуск, однако выполняется одной командой. Существуют два способа перезапуска служб IIS:
    • с помощью графического интерфейса диспетчера IIS;
    • с помощью программы командной строки IISReset.
  • Если на компьютере под управлением Windows Server 2003 запущены другие веб-службы, работу которых не следует прерывать, то для перезапуска служб UDDI выполните следующие действия:
    1. Запустите диспетчер IIS.
    2. Выберите папку Группы приложений и щелкните правой кнопкой мыши значок MSUDDIAppPool.
    3. Выберите пункт меню Повторный запуск. Это позволит службам UDDI возобновить работу, не затрагивая остальные веб-службы компьютера.
При подключении к компьютеру под управлением Microsoft Windows NT 4.0 с помощью именованных каналов появляется сообщение об ошибке
Если пользователь, не являющийся администратором, с помощью именованных каналов подключается к компьютеру под управлением Microsoft Windows NT 4.0, на котором запущен SQL Server 2000, может появляться сообщение об ошибке следующего вида:
Сообщение 1
Не удалось установить подключение. SQL-сервер не существует.
Сообщение 2
Не удалось установить подключение. Отказано в доступе.
Для получения исправления, устраняющего указанную ошибку, обратитесь к следующей статье базы знаний Майкрософт:
823492 При подключении к компьютеру под управлением Windows NT 4.0, на котором запущен сервер SQL Server 2000 или сервер SQL Server 7.0, появляется сообщение об ошибке «Не удалось установить подключение» (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

SQL Server 2000 (64-разрядные версии)

821280 MS03-031: Обновление для системы безопасности 64-разрядной версии SQL Server 2000

SQL Server 7.0 с пакетом обновления 4 (SP4) или Microsoft Data Engine 1.0 с пакетом обновления 4 (SP4)

821279 MS03-031: Обновление для системы безопасности SQL Server 7.0 с пакетом обновления 4 (SP4)

Важные замечания

Прочтите следующие важные замечания об установке данного обновления на компьютер, на котором запущен SQL Server 7.0 с пакетом обновления 4 (SP4).
При подключении к компьютеру под управлением Microsoft Windows NT 4.0 с помощью именованных каналов появляется сообщение об ошибке
Если пользователь, не являющийся администратором, с помощью именованных каналов подключается к компьютеру под управлением Microsoft Windows NT 4.0, на котором запущен SQL Server 2000, может появляться сообщение об ошибке следующего вида.
Сообщение 1
Не удалось установить подключение. SQL-сервер не существует.
Сообщение 2
Не удалось установить подключение. Отказано в доступе.
Для получения исправления, устраняющего указанную ошибку, обратитесь к следующей статье базы знаний Майкрософт:
823492 При подключении к компьютеру под управлением Windows NT 4.0, на котором запущен сервер SQL Server 2000 или сервер SQL Server 7.0, появляется сообщение об ошибке «Не удалось установить подключение» (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 815495 - Последний отзыв: 3 июля 2006 г. - Revision: 2.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Ключевые слова: 
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com